Twitter e le tecniche d’attacco di “Social engineering”

Il 15 luglio 2020 è stato uno dei giorni più neri per Twitter che ha visto compromessi decine di account, in quello che con buona probabilità è stato uno dei più gravi incidenti di sicurezza per la nota piattaforma social. Anche in passato Twitter aveva mostrato il fianco a falle di sicurezza, ma questa volta la situazione è decisamente più grave, anche per via dell’importanza degli account coinvolti. La situazione è stata riportata con dovizia di particolari dagli organi di informazione in tutto il mondo, causando non pochi problemi alla credibilità del social network. Il motivo è presto detto, alcuni dei profili Twitter più seguiti tra cui quelli di Bill Gates, Elon Musk, Jeff Bezos, Barack Obama e Kanye West oltre a quelli di noti marchi come Apple e Uber, sono stati compromessi e usati per veicolare una truffa legata alle crypto-valute. Dai profili sono stati lanciati una serie di tweet che promettevano di raddoppiare la quantità di bitcoin inviata a un certo indirizzo wallet. I cybercriminali in concomitanza con l’attacco hanno poi creato un sito web fasullo, il cui indirizzo veniva citato nei tweet, in cui chiedevano aiuti per la comunità dopo le perdite finanziarie causate da COVID-19. In realtà, il sito web chiedeva l’invio di bitcoin allo stesso indirizzo del wallet che appariva nei tweet. Secondo le prime ricostruzioni, il problema per Twitter è che gli account coinvolti, molti dei quali certificati e protetti con doppia autenticazione, non sono stati violati dall’esterno ma tramite l’accesso da strumenti di controllo e gestione della società. Inizialmente si pensava che dietro questo attacco fossero coinvolte tecniche di infiltrazione avanzate supportate da super computer, ma a quanto sembra l’attacco è stato portato a termine con una più subdola tattica di social engineering. Le indagini sono in corso e Twitter non ha ancora dichiarato l’effettiva origine della falla, ma l’ipotesi più accreditata punta l’indice all’elemento critico della cyber sicurezza ovvero il “fattore umano”. Le ipotesi si sprecano: secondo alcuni esperti del settore sono state usate procedure di spear-phishing, che tramite un link malware allegato alle email sfrutta tecniche di social engineering per motivare la “vittima” a inserire le proprie credenziali in una pagina fraudolenta. Ma la tecnica più accreditata è quella di un vettore d’attacco chiamato voice phishing o vishing, una tattica di ingegneria sociale che consiste nel telefonare ai dipendenti adottando tecniche di phishing per guadagnare fiducia e raccogliere i dati di accesso. Tutte queste tattiche sono unite a quella che viene definita “information gathering”, ovvero la raccolta di informazioni personali tramite l’analisi dei profili sui social network per rendere il tutto ancora più credibile. Oppure, più semplicemente, gli aggressori potrebbero avere ottenuto un aiuto interno da collaboratori o ex collaboratori dell’azienda, che hanno fornito (magari inconsapevolmente) le “chiavi” di accesso alla console di gestione della piattaforma. Indipendentemente, da quale sia stato il vettore d’attacco usato, l’elemento comune è comunque sempre il “fattore umano”.

Bloccare i vettori d’attacco

Secondo recenti stime, almeno il 30 percento delle violazioni nei cyber attacchi coinvolge attori interni all’azienda e gran parte di queste violazioni sfruttano tecniche di social engineering. La situazione generata dall’attacco a Twitter ci fa capire quanto sia grave il problema: pensiamo solo al fatto che, oltre a ottenere l’accesso ai dati aziendali, i cybercriminali sono riusciti a motivare gli utenti del social network a trasferire 120.000 dollari sfruttando informazioni fasulle. Questo è un problema che in futuro, potrebbe interessare sempre più aziende e pubbliche amministrazioni. Fortunatamente, contrastare efficacemente questi attacchi è possibile grazie a una serie di procedure supportate dagli esperti del settore, come per esempio lo staff di Hypergrid. Il Vulnerability Assessment, per esempio, è condotto per identificare le vulnerabilità del sistema. Questa procedura non include solo l’analisi dei sistemi informatici e dell’infrastruttura ma anche gli eventuali rischi derivanti dal fattore umano. Ricordiamo che il Vulnerability Assessment deve essere eseguito con una certa frequenza, in particolare quando ci sono delle variazioni nell’infrastruttura o del personale addetto alle procedure informatiche. Hypergrid è poi in grado di dare supporto e assistenza post-attacco e di svolgere attività di computer forensic per identificare eventuali responsabilità. In questi casi è altrettanto fondamentale il servizio di Security Data Recorder che registra ogni attività sia verso l’esterno che verso l’interno della rete per identificare eventuali illeciti. Non dimentichiamo poi un elemento importante per la sicurezza, ovvero la formazione del personale con corsi dedicati alla sicurezza informatica che forniscono un valido aiuto per contrastare gli errori umani.

Per consulenze e informazioni non esitate a contattarci all’indirizzo info@hypergrid.it